信息提供: | 安全公告(或线索)提供热线:51cto.editor@gmail.com |
漏洞类别: | 设计错误 |
攻击类型: | 远程进入系统 |
发布日期: | 2003-04-03 |
更新日期: | 2003-04-11 |
受影响系统: | Citrix ICA Client for Windows 6.31.1051 Citrix ICA Client for Windows 6.20.985 Citrix ICA Client for Windows 6.1 Citrix ICA Client for Solaris/x86 3.0.45 Citrix ICA Client for Solaris/x86 3.0.35 Citrix ICA Client for Solaris/Sparc 6.30.1061 Citrix ICA Client for OS X 6.30.314 Citrix ICA Client for Linux 6.30.1056 Citrix ICA Client for Linux 6.30.1054 Citrix ICA Client for Linux 6.30.1053 |
安全系统: | 无 |
漏洞报告人: | Devin Heitmueller (dheitmueller@netilla.com) |
漏洞描述: | BUGTRAQ ID: 7276 Citrix是一款远程桌面应用程序,类似Microsoft的终端服务程序。 Citrix ICA客户端没有验证会话的服务器公共密钥,远程攻击者可以利用这个漏洞通过Man-in-Middle攻击方式以明文方式读取通信的所有信息。 由于客户端在连接服务器初始化会话时,没有对服务器端密钥的合法性进行正确检查,这就导致存在中间人攻击问题。此漏洞类似"Microsoft Windows远程桌面协议服务器密钥验证漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=4651)描述的漏洞。 |
测试方法: | 无 |
解决方法: | 厂商补丁: Citrix ------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.citrix.com/site/SS/downloads/downloads.asp?dID=2755 |
相关文章
